Rapport de déplacement à Def Con
idk et moi avons assisté à DEFCON 27 et présenté deux ateliers sur I2P pour les développeurs d’applications, avec le soutien de mhatta et d’Alex. J’ai animé l’atelier au Monero Village et idk a animé celui au Crypto/Privacy Village. Ici, je résumerai l’atelier du Monero Village, ainsi qu’une présentation sur Tor par Roger Dingledine. idk publiera un compte rendu couvrant son atelier.
Nous avons eu environ 8 participants à l’atelier Monero Village, intitulé « I2P for Cryptocurrency Developers ». Nous avions prévu de discuter des besoins réseau particuliers de chaque application et d’examiner les différentes options i2ptunnel et SAM disponibles. Cependant, tous les participants étaient relativement peu familiers avec I2P ; nous avons donc changé d’approche et proposé un aperçu d’I2P. Comme aucun participant n’avait d’ordinateur portable, nous en avons aidé plusieurs à installer I2P sur leur téléphone Android et avons passé en revue certaines fonctionnalités de l’application. Pour tous les utilisateurs, l’application semblait procéder au réensemencement et construire des tunnels assez rapidement.
Une question fréquente après l’installation de l’application était “Que dois-je faire maintenant ?”. L’application n’a ni une section ‘services cachés intéressants’ ni un ‘assistant de première utilisation’ comme notre application de bureau, et la plupart des entrées du carnet d’adresses par défaut sont hors ligne depuis longtemps. Nous pourrions améliorer l’expérience de première utilisation. De plus, certaines des parties les plus intéressantes de l’application sont dissimulées derrière un paramètre avancé ; nous devrions revoir ces éléments et envisager de ne plus en masquer certains.
Il est toujours utile d’assister aux conférences sur Tor, non pas tant pour savoir ce qu’ils font, mais pour entendre comment ils expliquent les choses aux gens, et quelle terminologie ils emploient. La présentation de Roger “The Tor Censorship Arms Race” s’est déroulée dans une grande salle devant environ deux mille personnes. Il a donné un aperçu très bref de Tor avec seulement trois ou quatre diapositives. Il dit qu’ils ont désormais “de deux à huit millions d’utilisateurs par jour”. La majeure partie de la présentation était une revue des tentatives nationales de blocage au fil des années, en commençant par la Thaïlande et l’Iran en ‘06-‘07, puis la Tunisie, la Chine et l’Éthiopie en 2011. Il a qualifié les bridges Tor d’“une course aux armements pourrie”. Il a montré un nouveau formulaire destiné aux nouveaux utilisateurs, avec une case à cocher “Tor est censuré dans mon pays”.
Leur nouveau transport enfichable “snowflake” utilise une combinaison de domain fronting (dissimulation par domaine de façade), WebRTC, JavaScript, brokers et proxies pour atteindre un pont Tor. Roger n’avait qu’une seule diapositive à ce sujet, et je ne le connaissais pas, donc nous devrions faire davantage de recherches pour comprendre de quoi il s’agit. Il a brièvement mentionné quelques pistes sur lesquelles ils pourraient travailler ensuite, notamment une distribution des ponts appelée “salmon”, FTE/Marionette, le decoy routing (routage par leurre), et “cupcake”, qui est une extension de snowflake. Bien que je n’aie pas d’informations supplémentaires à leur sujet, ce sont peut-être de bons mots-clés à surveiller sur leurs listes de diffusion.
Une grande partie des déboires de Tor en matière de censure est due à la popularité de Tor, mais son handshake TLS constitue un problème particulier et a été au centre d’une grande partie de la « course aux armements » au fil des ans. À certains égards, nous sommes en meilleure posture, puisque nous avons repris plusieurs fonctionnalités de leur obfs4 pluggable transport, actuellement le meilleur, et les avons intégrées à NTCP2. Cependant, nous rencontrons des problèmes de blocage de notre site web et des reseeds (serveurs de réamorçage), comme Sadie et Phong le présenteront à USENIX FOCI cette semaine.
Notes pour la prochaine fois : Je recommande DEFCON, à condition que nous trouvions un village à considérer comme notre camp de base. C’est une conférence énorme et les espaces généraux pour se retrouver, en nombre limité, sont bondés à l’extrême. Monero Village et Crypto/Privacy Village ont été des hôtes fantastiques et nous avons eu plusieurs heures à chaque endroit pour rencontrer des gens. Nous devrions trouver davantage d’occasions de travailler avec ces deux organisations. Il y avait aussi des gens de ZCash au Monero Village et nous devrions également travailler avec eux. Tout atelier à venir devrait viser un public plus général. Nous avons réellement besoin d’une présentation standard “Intro to I2P” ; elle aurait été utile lors des ateliers. Ne vous attendez pas à ce que les participants aient un ordinateur portable avec eux ; concentrez-vous sur Android pour les exercices pratiques. Il y a plusieurs améliorations à apporter à notre application Android. Buvez beaucoup d’eau à Vegas… et restez loin des machines à sous.